Back/Hackarmy.AT. Troyano de acceso remoto Nombre: Back/Hackarmy.AT
Nombre Nod32: Win32/Hackarmy.AT
Tipo: Caballo de Troya
Alias: Hackarmy.AT, Win32/Hackarmy.AT, Backdoor.Hacarmy.F, W32/Spybot.gen.worm
Plataforma: Windows 32-bit
Tamaño: 36,277 bytes
Este troyano crea un proxy IRC en la máquina infectada, y abre una puerta trasera (backdoor), que permite a un atacante remoto tomar el control del equipo infectado.
No se propaga por si mismo, pero suele ser enviado en forma masiva a grupos de noticias, en mensajes con asuntos que intentan despertar la curiosidad del usuario, para que éste haga clic sobre un enlace que descarga al troyano, generalmente en un archivo con extensión .ZIP.
La infección ocurre si el usuario descarga y abre el contenido del .ZIP.
Cuando se ejecuta el contenido del .ZIP (que puede tener diferentes nombres), se crea el siguiente archivo:
c:\windows\system\win32server.exe
Luego ejecuta dicha copia, y permanece activo en memoria, finalizando el proceso del archivo original.
Crea las siguientes entradas en el registro de Windows, para ejecutarse en cada inicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Winsock32driver = [archivo del gusano]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winsock32driver = [archivo del gusano]
El troyano abre una puerta trasera, e intenta conectarse al un servidor IRC predeterminado, a través del puerto TCP/6667.
Un atacante remoto puede utilizar esta puerta para tomar el control del equipo infectado y realizar alguna de las siguientes acciones:
- Actualizarse a si mismo desde Internet
- Borrar archivos
- Descargar y ejecutar cualquier archivo
- Desconexión de Internet
- Finalizar cualquier proceso activo en memoria
- Iniciar o finalizar un canal IRC
- Listar todos los procesos activos
- Realizar un escaneo de puertos
- Robar información del sistema y del usuario (IP, etc.)
El troyano también podría ser enviado en forma premeditada o descargado de sitios no seguros, o desde redes P2P.
Reparación AntivirusActualice sus antivirus con las últimas definiciones
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\system\win32server.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Winsock32driver
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Winsock32driver
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Cambio de contraseñasEn el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/back-hackarmy-at.htmHacarmy.F Hacarmy.F es una puerta trasera que permite acceso remoto no autorizado a un equipo infectado. Funciona como un bot de IRC, esto es, se conecta a canales IRC donde espera instrucciones que ejecuta sobre la máquina infectada.
Nombre completo: Backdoor.W32/Hacarmy.F@MM
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:Backdoor.Hacarmy.F (Symantec)
Cuando Hacarmy.F es ejecutado realiza las siguientes acciones:
Se copia en %System%\win32server.exe, donde %System% es el directorio de sistema de Windows. Por defecto este es C:\Windows\System32 en Windows XP.
Añade el valor
"Winsock32driver" = "win32server.exe"
a la clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
para se ejecutado cuando el usuario inicia la sesión.
Crea un mutex llamado "botsmutexx" para asegurarse de que no hay más de una instancia del gusano en ejecución.
Se conecta a los siguientes servidores IRC predefinidos en el puerto TCP 6667:
old.servebeer.com
old.badpenguin.net
El controlador de la puerta trasera puede realizar acciones como las siguientes:
Descargar y ejecutar ficheros
Terminar procesos
Usar instrucciones IRC como JOIN, PRIVMSG o KICK.
Robar información del sistema, como información del sistema operativo, tiempo en ejecucion, nombre del usuario actual, dirección IP, nombre de la máquina, etc.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4434Ranky.L Troyano-puerta trasera que permite a un atacante remoto dirigir tráfico HTTP a través del equipo infectado.
Nombre completo: Backdoor.W32/Ranky.L
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 22448
Alias:Backdoor.Ranky.L (Symantec), TrojanProxy.Win32.Ranky.ap (Kaspersky (viruslist.com)), Proxy-FBSR (McAfee)
Cuando Backdoor.W32/Ranky.L es ejecutado, realiza las siguientes acciones:
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: "2thousandbuck" = "- ruta del fichero -"
Intenta conectarse a los siguientes sitios web, para notificar que esta en ejecución:
www.ird-gmbh.com fvcqx.dynalias.net
gdvme.mine.nu
vhdefag.homeip.net
Dependiendo de la respuesta obtenida de los sitios contactados, el troyano podría descargar y ejecutar el fichero %Windir%\dok.
Nota: %Windir% es variable. El troyano localiza el directorio de instalación de Windows (por defecto C:\Windows o C:\Winnt) y se replica en esa ubicación.
Intenta abrir un puerto TCP aleatorio en el equipo infectado.
Permite a un atacante remoto realizar peticiones HTTP a través del sistema atacado, haciéndo que este actúe como proxy.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4433Carpet.D Gusano qe al ejecutarse muestra una imagen formada por cruces (+) titulada "La Pasion de Cristo".
Para propagarse, se replica con varios nombres de fichero en la unidad A: (normalmente es la disquetera).
Utiliza el icono de los directorios (una carpeta) para engañar al usuario y que este pulse sobre el icono.
Nombre completo: Worm.W32/Carpet.D@FLOPPY
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [FLOPPY] - Se propaga mediante copias en los disquetes de la unidad A:.
Tamaño (bytes): 90112
Alias:WORM_CARPET.A (Trend Micro), Trojan.Plabo (Otros), W32.HLLW.Carpet (Otros), Trojan:Win32/VB.JW (Otros)
Cuando Worm.W32/Carpet.D@FLOPPY es ejecutado, muestra una imagen que contiene cruces (+) y titulada "La Pasion de Cristo".
A continuación deja en el directorio de Windows, los siguientes ficheros:
VIRTUAL.COM
WINLOGON.EXE
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade los valores indicados a las siguientes claves del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Valor: winLogon = "%Windows%\WinLogon.exe"
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Valor: virtual = "%Windows%\virtual.com"
Nota: %Windows% es variable. El troyano localiza el directorio de instalación de Windows (por defecto C:\Windows o C:\Winnt) y se replica en esa ubicación.
Además, crea la siguiente clave en el registro de Windows:
Clave: HKEY_LOCAL_MACHINE\Software\WinLogon\Fecha
El gusano se copia a sí mismo con varios nombres de fichero en la unidad A:, que normalmente se corresponde con la disquetera.
Algunos de los nombres utilizados para esas copias, son los siguientes:
BLUEGIRLS.EXE
BRITNEY SPEARS.EXE
CHRISTINA AGUILERA.EXE
IMPORTANDE.EXE
JENNYFER LOPEZ.EXE
LA PASION DE CRISTO.EXE
MADONA.EXE
MEJOR AMIGO.EXE
PLAY BOY.EXE
QUIEN QUIERE ESTO.EXE
SOY TU AMIGO.EXE
Otros Detalles
Worm.W32/Carpet.D@FLOPPY esta escrito con Visual Basic, y necesita que el fichero MSVBVM60.DLL es te instalado en el sistema para poder ejecutarse adecuadamente.
Utiliza el icono de los directorios (carpeta) para intentar engañar al usuario, haciéndole creer que se trata de un directorio válido.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4430
